Por onde começar a auditar a segurança do seu negócio digital (sem ser dev)

Esse artigo nasceu de um momento concreto. No dia 23 de maio de 2026, um sábado à tarde, eu sentei pra fazer uma coisa que vinha adiando há meses: olhar pra dentro da minha própria operação digital. Tenho uma VPS rodando há cinco meses, mais de trinta sites de clientes hospedados nela, agentes de IA conversando no WhatsApp, integração com banco, com Asaas, com Hotmart, com Google Ads, com Meta, com Supabase. Tudo funcionando. E eu não fazia ideia se estava funcionando de forma segura.

Pouco antes, uma pessoa que entende de segurança tinha olhado o que eu construí e apontado falhas. Não me disse quais. Só sinalizou que existiam. E ali eu percebi: dá pra ter uma operação digital substancial sem entender direito o que está rodando, e dá pra cair em problema sério (vazamento de dado de cliente, processo LGPD, perda de operação) exatamente por isso.

Esse texto é o que eu queria ter lido antes. Escrito agora, depois de viver. Não é teoria de livro, é o caminho que eu mesmo segui pra sair do "tenho coisas funcionando que não entendo" pra "sei o que está exposto, sei o risco, sei o que fazer".

Por que isso importa agora

Se você é dono de uma operação digital, mesmo que pequena, três coisas estão acontecendo ao mesmo tempo:

Primeiro, a LGPD virou exigência real, não papo de palestra. Multa chega a até 2% do faturamento, limitada a R$ 50 milhões por infração. E "incidente" pode ser algo simples como um arquivo de senha em texto puro no servidor que alguém descobriu. A ANPD está fiscalizando, advogados de cliente estão pedindo contrato de operador, e empresa que contrata serviço sua vai querer ver isso documentado.

Segundo, o número de ataques automatizados cresceu absurdamente. Toda VPS exposta na internet sofre tentativas de força bruta SSH em ciclos de minutos. Bot escaneia portas abertas o tempo todo. Se você tem um banco de dados exposto em porta padrão com senha fraca, é só questão de tempo até alguém tentar.

Terceiro, vender para empresas maiores virou conversa técnica. Cliente bom não fecha sem perguntar onde os dados ficam, quem tem acesso, qual o backup, qual o plano de incidente. Se você gagueja nessas respostas, perde a venda. Se responde mal e algo der errado, responde judicialmente.

A boa notícia: você não precisa virar especialista em segurança. Precisa virar dono técnico, que é coisa diferente. Dono técnico entende o suficiente pra perguntar certo, validar o que recebe e decidir bem. É isso que esse Aprenda vai construir contigo nas próximas doze semanas.

O que é "auditar a segurança" pra quem não programa

Antes de qualquer coisa, vamos desfazer uma confusão. "Auditoria de segurança" parece coisa de empresa enorme contratando consultoria de cem mil reais. Não é o que vamos fazer aqui.

Pra dono de PME, auditar a segurança é três passos simples:

1. Inventariar: descobrir o que você tem.
2. Avaliar: ver o que está exposto, com risco, ou descuidado.
3. Priorizar: decidir o que arruma essa semana, esse mês, e o que aceita por enquanto.

É isso. Quando você faz isso bem, você tem três coisas que antes não tinha: um mapa do que está rodando, uma lista priorizada de risco, e um documento que mostra pra cliente e advogado que você sabe o que está fazendo.

As oito perguntas que você precisa responder

Pega papel ou abre um documento. Responde cada uma com sinceridade. Se a resposta for "não sei", anota "não sei". A primeira passada é diagnóstico, não competição.

1. Onde meu site, sistema e dados estão hospedados?

Resposta esperada: nome do provedor (Hostinger, Vercel, AWS, Google Cloud, Render, etc.), localização física dos servidores (Brasil, EUA, Europa), plano que você contrata, valor mensal, data de validade.

Por que importa: LGPD trata dado pessoal de brasileiro de forma diferente quando o servidor está em outro país. Cliente vai perguntar. Se você não souber, é a primeira coisa a descobrir.

2. Quem tem acesso aos meus servidores e sistemas?

Resposta esperada: lista de cada pessoa que pode logar em alguma coisa sua, por qual método (senha, chave SSH, conta Google, etc.), com qual nível de permissão (admin, editor, leitor).

Por que importa: princípio do menor privilégio. Quanto menos gente tem acesso, e quanto menos poder cada acesso tem, menor o estrago se algo for comprometido. Antigo prestador que não atende mais e continua com senha do FTP é vetor de ataque.

3. Quais dados pessoais eu coleto, onde eles ficam, e por quanto tempo?

Resposta esperada: lista de cada tipo de dado pessoal (nome, email, telefone, CPF, endereço, foto, dado de saúde, mensagem privada, etc.), em qual sistema mora cada um (banco da agenda, planilha do financeiro, conversa do WhatsApp, formulário do site), e qual o critério de exclusão.

Por que importa: esse é o cerne da LGPD. Sem essa lista, você não consegue escrever política de privacidade honesta, nem responder pedido de cliente "me esquece" (direito ao esquecimento). E sem essa lista, qualquer auditoria vira improviso.

4. Onde estão as senhas e tokens da minha operação?

Resposta esperada: arquivo, planilha, gerenciador (Bitwarden, 1Password), cabeça, papel. Quantas senhas únicas você usa de verdade? Quantas integrações ativas (API keys do Stripe, Asaas, Google, Meta, OpenAI) você tem?

Por que importa: token vazado é igual chave perdida. Se um arquivo `.env` cair em mão errada, você pode ter conta esvaziada (Asaas, Stripe), conta de IA debitando sem você ver (OpenAI, Anthropic), envio de email em massa pelo seu domínio (problema de reputação).

5. Eu tenho backup? Funciona?

Resposta esperada: tipo de backup (snapshot do provedor, dump de banco, mirror de arquivo), frequência (diário, semanal, mensal), local (mesmo servidor, outro servidor, cloud separada), e a pergunta-chave: você já testou restaurar?

Por que importa: backup que nunca foi testado restaurando não é backup, é esperança. E "tudo é importante" não é estratégia: se você não pode perder nada, paga por backup de tudo. Se pode perder algumas coisas, define quais.

6. O que está exposto pra internet que não precisa estar?

Resposta esperada: lista de portas, serviços, painéis administrativos que respondem pela internet pública. Banco de dados acessível direto? Painel admin do WordPress sem proteção? API key visível na URL? Diretório de arquivo aberto?

Por que importa: superfície de ataque. Cada coisa exposta é uma porta que um bot pode tentar. Quanto menos exposta, menos chance de problema.

7. O que acontece se o servidor cair agora?

Resposta esperada: quem você liga, em quanto tempo você sabe que caiu, em quanto tempo você consegue voltar, o que o cliente vê durante a queda.

Por que importa: nove em cada dez donos de PME só descobrem que o site caiu quando o cliente reclama. Isso é amador. Monitoramento externo grátis (UptimeRobot) resolve em vinte minutos de configuração.

8. Se um cliente perguntar sobre LGPD amanhã, o que eu respondo?

Resposta esperada: você tem política de privacidade publicada no site, tem termo de uso, tem contrato com cliente onde fala de tratamento de dado, tem registro do que coleta. Idealmente, tem um documento "Postura de Segurança" curto que entrega pra cliente novo.

Por que importa: a partir do momento que você vende pra empresa maior, vai precisar disso. Construir agora, antes do primeiro cliente exigir, é dez vezes mais barato.

Como descobrir as respostas sem cair em armadilha técnica

Aqui é onde a maioria dos artigos te abandona. Dão a lista de perguntas e somem. Vou te dar dois caminhos práticos:

Caminho A: sozinho, com paciência

Reserva quatro horas no fim de semana. Pega cada uma das oito perguntas e responde com pesquisa. Onde está hospedado? Loga no painel do provedor. Quem tem acesso? Olha as configurações de cada serviço. Senhas? Lista todos os lugares onde tem credencial. Backup? Pergunta ao seu provedor o que está incluído.

Anota tudo num documento único. Não precisa ser bonito. Precisa ser completo. Esse documento vai ser revisitado várias vezes nas próximas semanas.

Caminho B: com ajuda técnica

Se você tem alguém que cuida da parte técnica (freelancer, agência, sócio dev), manda essas oito perguntas pra ele. Pede pra responder por escrito. Não aceita resposta verbal: o objetivo é ter documento.

Quando receber, leia com olho de dono. Tem item que você não entendeu? Faça eles explicarem em português. "Não tenho como explicar sem termo técnico" é resposta ruim. Tudo pode ser explicado em português.

Checklist enxuto pra você sair daqui e fazer

Pra fechar com algo prático, aqui está a versão de bolso. Imprima, salva, copia, faz como quiser. Marca cada uma quando responder.

• [ ] Sei onde minha operação está hospedada, o plano e a validade
• [ ] Tenho lista de todas as pessoas com acesso a qualquer parte do meu sistema
• [ ] Mapeei quais dados pessoais coleto e onde cada um mora
• [ ] Sei onde estão minhas senhas e tokens (gerenciador, arquivo, cabeça)
• [ ] Sei se tenho backup, com que frequência, e se já foi testado
• [ ] Identifiquei o que está exposto na internet pública
• [ ] Sei o que acontece (e quem chamo) se o servidor cair agora
• [ ] Tenho política de privacidade, termos e mapeamento mínimo de LGPD

Se você marcou quatro ou menos, calma. Quatro horas de trabalho focado consertam isso. Se marcou cinco a seis, você está bem acima da média. Se marcou sete ou oito, talvez você não precise desse Aprenda, mas siga lendo pra calibrar.

O que vem depois da auditoria

Auditar é o primeiro passo, não o último. Depois que você responde as oito perguntas, vem o trabalho de:

• Construir o mapa de dados LGPD formal (próxima semana, semana 2 do Aprenda)
• Escrever contrato modelo com cláusula de operador (semana 3)
• Endurecer a infraestrutura: fechar portas, rotacionar senhas, separar acessos (semana 4)
• Entender a stack: DNS, Caddy, Docker, banco (semanas 5 a 7)
• Construir operação que não dá vergonha: monitoramento, runbook, incidente (semana 8)
• Profissionalizar comercial: contratos, pricing, onboarding (semanas 9 a 12)

Doze semanas. Um artigo por semana. Você acompanha conforme eu vivo cada etapa na operação real da Terapeuta Multimídia e da Team Studio. Esse caminho não é teórico, é o que eu mesmo estou trilhando agora.

Se você quer ser notificado quando o próximo sair, me chama no WhatsApp: (11) 94752-5176. Mando direto. Sem newsletter, sem captura de email com hype, sem upsell. Apenas o link do próximo artigo quando estiver pronto.

Perguntas frequentes

Eu não sou programador. Esse conteúdo é pra mim?

Sim. Esse material é escrito pra dono de negócio, não pra dev. A premissa é que você não vai programar, mas precisa entender o suficiente pra fazer perguntas certas, validar o que recebe de quem implementa, e tomar decisão informada sobre risco.

Preciso ter VPS pra esse conteúdo servir?

Não. As oito perguntas valem se você usa VPS, hospedagem compartilhada, Vercel, AWS, Google Cloud, Render ou qualquer outro lugar. O que muda é onde você procura cada resposta, não o que você pergunta.

Quanto tempo leva fazer essa auditoria sozinho?

Se você nunca olhou pra essa parte da operação, conte de duas a quatro horas pra cobrir as oito perguntas com profundidade decente. Se você já tem mapeamento prévio, uma hora resolve. O checklist no fim do artigo te dá o caminho mais curto.

Por que isso importa antes de vender pra clientes?

Porque cliente sério pergunta. Empresa média pra cima vai te questionar sobre LGPD, sobre onde os dados ficam, sobre backup, sobre quem tem acesso. Se você não souber responder, perde a venda. Se responder mal e algo der errado, responde judicialmente.

Qual a diferença entre esse Aprenda e os cursos de segurança que existem?

Os cursos que existem são pra quem quer trabalhar com segurança como profissão. São densos, técnicos, longos e caros. Esse Aprenda é pra dono de negócio que NÃO vai trabalhar com segurança como profissão mas precisa entender o suficiente pra controlar sua própria operação. Linguagem diferente, escopo diferente, custo zero.